Dpto. Teoría de la Señal, Telemática y Comunicaciones E.T.S. Ingeniería Informática y Telecomunicaciones Universidad de Granada 18071 - GRANADA Seguridad en Redes de Comunicaciones Seguridad en Redes de Comunicaciones “NMAP: HERRAMIENTA DE EXPLORACIÓN Y AUDITORÍA DE RED” Práctica 5. Exploración y Auditoria de Seguridad: NMAP Fundamentos El término escaneo de puertos hace referencia al análisis (más o menos exahustivo) del estado de los puertos de uno o más nodos de una red. Este estado puede ser abierto, cerrado o filtrado. Conocer esta información puede ser bastante útil de cara a evitar un ataque. Antes de exponer un nodo ante una red es bastante común utilizar esta técnica, de modo que se pueda detectar cualquier vulnerabilidad. Es una operación muy útil en procesos de auditorías de seguridad. Las herramientas que proveen de esta facilidad de escaneado de puertos, no solamente nos puede indicar los puntos débiles de la máquina, sino también otra información útil, como los distintos servicios ofrecidos, el sistema operativo en ejecución, la versión del software, etc. La exploración de una red a través del escaneo de puertos sobre uno o más nodos de la misma, es una técnica utilizada tanto para administradores de sistemas para analizar los problemas de seguridad o detectar vulnerabilidades, como por un atacante que puede estar recopilando información para generar un incidente. Existen diversos programas para la exploración de red a través del escaneo de puertos en el mercado. Unos comerciales y otros libres. En la práctica utilizaremos Nmap. Nmap (“network mapper”) es una herramienta de código abierto para exploración de red a través del escaneo de puertos. La información que provee puede utilizarse para la elaboración de un informe de auditoría de seguridad. Permite analizar tanto nodos individuales, como grandes redes de una forma muy rápida y ágil. A través de paquetes ip, nmap puede reportar los nodos que están activos de una red, que servicios está corriendo así como información sobre los mismos, que sistema operativos disponen, información acerca de sistemas de filtrado de paquetes incorporados y un largo etcetera. Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificación de actualización de servicios y la monitorización del tiempo que los equipos o servicios se mantiene activos. La salida de Nmap es un informe que muestra todos los nodos analizados, con información adicional para cada uno de ellos, en función de la consulta que sobre ellos se haya lanzado. Se incluye un listado de lo que se conoce como “tabla de puertos interesantes”. En ella se incluye el número de puerto y protocolo, el nombre más común del servicio, así como el estado del mismo. Éste puede ser: open (abierto), filtered (filtrado), closed (cerrado), o unfiltered (no filtrado). Si el puerto está abierto, el nodo está a la espera de recibir paquetes, por lo tanto está permanentemente a la escucha. Si está filtrado, ese puerto está protegido por una herramienta interna del sistema que impide el acceso (un cortafuegos como iptables por ejemplo). Si está cerrado, el puerto no está accesible, porque en el sistema no hay ningún servicio o aplicación que esté a la escucha. Los clasificados como no filtrados son aquellos que responden a nmap, aunque no puede determinar si se encuentran abiertos o cerrados. Nmap informa de las combinaciones de estado open|filtered y closed|filtered. Asociado a la tabla de puertos también se puede incluir detalles de la versión de la aplicación que está a la escucha, cuando se ha solicitado detección de versiones. Igualmente puede ofrecer información de los protocolos IP soportados, en vez de puertos abiertos, etc. Además de la tabla de puertos interesantes, Nmap puede dar información adicional sobre los objetivos, incluyendo el nombre de DNS según la resolución inversa de la IP, un listado de sistemas operativos posibles, los tipos de dispositivo, y direcciones MAC. Aspéctos prácticos El desarrollo de la práctica la vamos a efectuar en dos apartados. En el primero de ellos, vamos a realizar un escaneo de puertos utilizando el protocolo de nivel de transporte TCP, mientras que en el segundo realizaremos un escaneo de puertos utilizando UDP. NMAP: HERRAMIENTA DE EXPLORACIÓN Y AUDITORÍA DE RED 1 Dpto. Teoría de la Señal, Telemática y Comunicaciones E.T.S. Ingeniería Informática y Telecomunicaciones Universidad de Granada 18071 - GRANADA Seguridad en Redes de Comunicaciones P.1- ESCANEO TCP. Descripción El protocolo de nivel de transporte TCP (Transmission Control Protocol) es uno de los más utilizados en internet, dando soporte a la mayoría de las aplicaciones (navegadores, intercambio de ficheros, cliente FTP, etc.), así como a los protocolos de aplicación HTTP, SMTP, SSH y FTP. Es un protocolo orientado a conexión y fiable, documentado IETF en el RFC 793. En el establecimiento de conexión TCP se sigue una negociación (“handshake”) de tres pasos. La máquina interesada en comenzar la conexión envía un paquete SYN al destino, el cual responde con un paquete SYN/ACK, que es respondido por la máquina origen con un ACK. La técnica empleada en el TCP scan está basada en el envío de paquetes SYN a la máquina objetivo. Analizando la respuesta podemos saber el estado del puerto: - Si la respuesta es un paquete SYN/ACK, el puerto está abierto y esperando conexiones. - Si nos devuelve un paquete RST (“Reset”), el puerto está cerrado. - Si no hay respuesta o se recibe un paquete ICMP Port Unreachable, el puerto está filtrado. Archivos involucrados Tareas a realizar El programa a utilizar es Nmap. Su sintaxis de uso es: nmap [Tipo de análisis] [Opciones] {Objetivos} 1-. Liste el número de equipos operativos en la red de su isla 10.x.1.0/24 así como en la red 10.x.2.0/24. Para ello utilice un sondeo ping (-sP). ¿Obtiene además de los PCs de la isla algún equipo más? 2-. Mediante la opción Ping TCP SYN (-PS) localice los equipos conectados a la red de datos por la interfaz eth0.¿Qué equipos aparecen conectados? ¿Hay alguna diferencia entre los obtenidos en este apartado y el anterior? ¿Ha obtenido de esta manera alguna información adicional? 3-. Ahora analizaremos los puertos de un host concreto. Para ello utilizaremos la opción sondeo TCP SYN (-sS). Realice un análisis de los puertos del router-A de su isla indicando puerto, estado y servicio asociado. ¿Qué sistema operativo utiliza el router? 4-. Desactivando telnet en un equipo de la isla, deberíamos ser capaces de comprobarlo haciendo un escaneo desde otro equipo. Desactive el telnet en cualquier equipo de la isla y escanee desde otro equipo para comprobar que el puerto 23 está cerrado. 5-. Descubrir los equipos de la red de gestión que hay conectados. Decir cuáles son, qué sistema operativo usan y qué direcciones física y lógica tienen. Equipo Sistema Operativo Dirección Física Dirección Lógica 6-. Otra de las posibilidades del programa Nmap es la utilización de una interfaz gráfica. Para ello vayase a la parte del menú de Fedora Core 4, y localice el programa Nmap FE. Investigue las distintas opciones e intente realizar los escaneos y descubrimientos realizados con anterioridad en los otros apartados. Importante: Nunca realizar este tipo de análisis en redes que no son de su responsabilidad, control y propiedad. NMAP: HERRAMIENTA DE EXPLORACIÓN Y AUDITORÍA DE RED 2 Dpto. Teoría de la Señal, Telemática y Comunicaciones E.T.S. Ingeniería Informática y Telecomunicaciones Universidad de Granada 18071 - GRANADA Información adicional Seguridad en Redes de Comunicaciones La realización de análisis o escaneos en redes que no son de nuestra propiedad se puede considerar delito. La realización de esta práctica en el laboratorio supone utilizar una red de nuestra propiedad y montada para este tipo de ejercicios. Sin embargo, el uso de estos programas en redes ajenas a nuestra responsabilidad puede suponer problemas legales. P.2.-ESCANEO UDP Descripción Archivos involucrados Tarea a realizar UDP (User Datagram Protocol) es un protocolo del nivel de transporte al igual que TCP. Permite el envío de datagramas a través de la red sin haber establecido una conexión, incorporando en el datagrama la dirección destino. Dado que no tiene confirmación (ACK), la metodología para el escaneo es algo distinta a la vista en TCP: - Si la respuesta es un paquete ICMP de puerto no alcanzable, el objetivo está vivo y alcanzable aunque ese puerto empleado para la comunicación esté cerrado. - Si se recibe un paquete ICMP de sistema o red inalcanzables o un paquete ICMP de TTL excedido, sabemos que el sistema está muerto o inalcanzable. También supondremos esto si no recibimos respuesta. - Si el paquete UDP llegase a un puerto abierto, no tendríamos respuesta. Por ello, se utiliza por omisión el puerto 31338, ya que es poco probable que esté utilizándose. El programa a utilizar es Nmap cuya sintaxis es: nmap [Tipo de análisis] [Opciones] {Objetivos} 1-. Realice un descubrimiento de los sistemas vivos de la red de datos del laboratorio utilizando el ping UDP (-PU). Para ello, ponga como dirección objetivo las mismas que en el apartado anterior. ¿Son los resultados obtenidos iguales a los obtenidos con el ping TCP? Razone su respuesta. 2-. Realice un sondeo UDP (-sU) al router de la isla en la que se encuentra su máquina. ¿Qué resultados obtiene? Utilice el programa ethereal para comprobar el tráfico y explique qué sucede. Documentación adicional http://nmap.org/man/es/ NMAP: HERRAMIENTA DE EXPLORACIÓN Y AUDITORÍA DE RED 3
© Copyright 2025